Головна / Октава Кіберзахист / Як захистити бізнес у цифровому світі?

Як захистити бізнес у цифровому світі?

Як захистити бізнес у цифровому світі?

Який інструментарій дозволить побудувати інформаційну безпеку малого і великого бізнесу

Безпека буває різною. І кожен самостійно приймає рішення, як йому забезпечити свою безпеку. Протягом останніх двох років ми щодня спостерігаємо збільшення кількості атак і інцидентів, пов’язаних з безпекою.

Рівень атак і їх складність постійно зростає. Це атаки на базі PowerShell скриптів, безфайлові шкідливі програми, програми-шифрувальники. Сучасні атаки — багатокрокові, і часто кожен з етапів для звичайного користувача може виглядати цілком необразливо. Якщо аналізувати дані минулого року, то середній час злому систем під час атаки становить в середньому 18 секунд для найбільш просунутих хакерських груп з РФ. Для більшості компаній такі атаки пройдуть непоміченими.

Самі атаки можна розділити на відомі і невідомі. Перші в загальному обсязі складають близько 80%. Але основний збиток, згідно з принципом Парето 80/20, наносять 20% з них. Це не означає, що від них не потрібно захищатися. Якраз навпаки — потрібно максимально відсіяти весь цей обсяг вже відомих атак.

У той же час є ще і невідомі (0-day) і цілеспрямовані атаки, які просто невідомі більшості систем безпеки, і саме вони завдають набагато більших збитків бізнесу. По суті одна атака такого рівня, може стати для компанії серйозною проблемою.

Саме тому дуже важливо дотримуватися, з одного боку, базові принципи кібер-гігієни, а з іншого — впроваджувати системи забезпечення розширеної кібербезпеки, оцінюючи ризики втрат критичної інформації.

На нашу думку, з огляду на, що вектор атак як і раніше спрямований в першу чергу на призначені для користувача пристрої та сервери, необхідно забезпечувати в першу чергу комплексний захист цих компонентів. Особливо це буде актуальним, якщо користувач буде знаходитися за периметром корпоративного захисту.

Що робити, якщо атака вже відбулася?
Будь-яка атака — це, перш за все, процес. І основна мета захищаються — зупинити його.

Частина процесу знаходиться поза зоною впливу, частина — в зоні впливу підприємств. Потрібно розуміти, що будь-яка система кібербезпеки може бути зламана, і навіть якщо нам вдасться на останньому етапі зупинити атаку, зберігши свої критичні дані, можна вважати, що ми успішно захистилися. Саме тому і потрібні певні системи, які дозволять реалізувати кіберзахист необхідного рівня і, що не менш важливо, додатково забезпечити візуалізацію процесів кібербезпеки.

Є ряд організацій, які займаються розробкою стандартів в області кібербезпеки. У їх числі — NIST і їх відомий Cybersecurity Framework, на базі якого ми в нашій компанії будуємо і пропонуємо свій підхід нашим клієнтам.

Будь-фреймворк, включаючи NIST CyberSecurity Framework — описує кроки, спрямовані не тільки на запобігання, а також на детектування, протидія та відновлення, що ще раз підтверджує, що не можна гарантувати 100% -ную захист.

На жаль, немає єдиної формули побудови 100% безпеки, і кожної компанії потрібно самостійно побудувати інформаційну безпеку виходячи із специфіки своєї компанії і процесів і з урахуванням того, що вас в будь-якому випадку зламають. Особливо це стосується small / medium бізнесу (SMB), де будувати складну систему безпеки досить складно і дорого, і зазвичай не доцільно.

Дуже часто для SMB компаній центральним елементом захисту виступає найпростіший маршрутизатор, який не здатний забезпечити необхідну якість і комплексність захисту від сучасних кіберзагроз.

Саме тому ми рекомендуємо будувати систему кібербезпеки, починаючи з визначення найбільш критичних даних і сервісів, а також виходячи з аналізу та запобігання можливих ризиків для бізнесу.

способи захисту
Для вирішення найбільш критичних питань забезпечення кібербезпеки ми пропонуємо розглянути найбільш вразливі і часто атакували об’єкти ІТ-інфраструктури — ПК користувачів і сервери. На нашу думку — для СМБ бізнесу, захист цих об’єктів дозволить закрити досить велика кількість потенційних ризиків і значно підвищити загальний рівень кібербезпеки.

Для захисту кінцевих точок (ПК і сервери) існує безліч рішень на ринку, але, на нашу думку, на поточному момент необхідно орієнтуватися на клас рішень антивірусів наступного покоління (NG-AV) — EPP (End-Point Protection) і системи EDR (End Point Detection and Response) відповідно до класифікації Gartner.

Це продиктовано необхідністю зміни підходів до забезпечення захисту від складних загроз, і сучасні рішення повинні включати в себе функціональність по виявленню комплексних атак, спрямованих на кінцеві точки, про які ми говорили раніше.

Системи класу NG-AV / EPP використовують більш складні алгоритми для аналізу файлів і процесів, засновані не тільки на порівнянні з існуючими сигнатурами, а й на базі так званого поведінкового аналізу, кожного з файлів або процесів, які користувач запускає на своєму ПК. Таким чином, ми контролюємо всі ПК і сервери з єдиної консолі і бачимо, що відбувається в рамках контрольованої мережі.

Очікуваним результатом від впровадження EDR-рішень з протидії складним загрозам буде організація передовий захисту кінцевих пристроїв, що призведе до помітного зменшення поверхні комплексних цільових атак і тим самим до скорочення загального числа кіберзагроз.

Крім того, функція EDR дозволяє додатково візуалізувати і зрозуміти, як потрапила загроза в систему, як швидко поширюється, які цілі? Тобто візуалізувати те, що зазвичай приховано і непомітно для ІТ-служб. Найчастіше багато компаній просто не підозрюють, що їх зламали. Місяцями може хтось бути у Вашій ІТ-інфраструктурі і мати доступ до конфіденційної інформації.

Використання функціональності EDR дозволить значно розширити можливості компанії з точки зору детектування і реагування на можливі кіберзагрози, включаючи блокування ПК користувача, на якому виявлено загроза, таким чином значно спрощуючи життя адміністраторам систем кібербезпеки і значно зменшуючи час реакції на можливі загрози.

Також на сьогоднішній день всі сучасні компанії, що пропонують рішення захисту кінцевих точок, в тому числі і мережеві системи захисту, використовують механізми машинного навчання, тому що отримується обсяг даних шляхом аналізу усіх об’єктів захисту просто неможливо обробити вручну.

Що це означає? Використовуючи систему захисту кінцевих точок, ви автоматично отримуєте доступ до найважливішої аналітичної інформації з точки зору інформації про можливі віруси, погрози, індикаторах компрометації та інше. Чим більше підключено до такої бази, тим вищим буде якість детектування і запобігання можливим загрозам.

Створюйте помилкові цілі
Є ще один підхід, що дозволяє підвищити рівень кібербезпеки. Ця технологія відома давно, і професійні компанії часто користуються ними. Йдеться про створення помилкових цілей. Тобто створити для атакуючого (неважливо, живий це зломщик або шкідливий код) помилкові мішені, сам факт взаємодії з якими є ознакою наявності загрози. При цьому абсолютно не важливо, якого роду ця загроза, знають сигнатури антивіруса про це шкідливий код, або, може бути, це інсайдер намагається просканувати або зламати внутрішню інфраструктуру.

Створені помилкові цілі дуже складно відрізнити від реальних, і вони можуть бути різного рівня — ПК, сервери, мережеве обладнання — що створює серйозну додаткову “павутину” помилкових цілей з централізованою консоллю моніторингу та управління.

Якщо розгорнути масштабну мережу помилкових цілей (рекомендується не менше 10% від загальної кількості пристроїв), атакуючий з великою ймовірністю натрапить на помилкову мішень, ми відразу отримаємо практично 100% інцидент і багато розширеної інформації щодо атакуючого. Все це дає додаткову інформацію і візуалізує вектор проходження атаки, що дозволяє зменшити час, необхідний для своєчасного запобігання дій атакуючої сторони.

Взяти в аутсорсинг або виростити самому?
Кібербезпека — це досить складна область ІТ, яка включає в себе величезну кількість пересічних і доповнюють один одного технологій.

Саме з цієї причини в цій області величезний дефіцит кадрів, і перед будь-якою компанією стоїть питання — повністю всі питання закривати своїми силами або використовувати модель аутсорсингу. На наш погляд, принцип “золотої середини” або гібридної моделі добре працює і тут.

Як ми і говорили раніше, немає сенсу захищати все і відразу. Важливо визначити, що таке критичні дані і критичні сервіси для компанії, і спрямувати зусилля в бік захисту цих даних і сервісів в першу чергу.

Використання моделі оренди сервісу або аутсорсингу ключових фахівців — відображає ступінь зрілості компаній і ринку в цілому. Ми працюємо над тим, щоб забезпечити зрозумілий як юридично, так і технічно процес, який би дозволив без побоювання використовувати технології забезпечення безпеки як сервіс (security as a service).

Використання рішень забезпечення безпеки кінцевих точок у форматі сервісу — дозволить вам за досить помірні гроші (умовно кажучи вартість 1-2 чашок кави в день) закрити найбільш актуальні і часто нехтують загрози без необхідності наймати дорогих експертів.

Ми бачимо, що дуже багато компаній сегменту СМБ — просто не надають цьому значення, хоча, як ми сказали раніше, — більше 50% всіх атак спрямовані саме на ПК користувачів і сервери.

Процесна модель і моніторинг 24/7
Безперервність бізнесу компаній і безпеку пов’язані між собою. Саме тому важливо відстежувати стан безпеки і мати процессную модель управління безпекою. Безперервний моніторинг безпеки в режимі 24х7 — на сьогодні один з найбільш ефективних підходів, що дозволяють не пропустити етап проникнення в вашу ІТ інфраструктуру.

Використання додаткових засобів автоматизації — дозволяє цей процес значно спростити, але все одно необхідна наявність виділеного і кваліфікованого персоналу, який буде приділяти цьому увагу і не за залишковим принципом — може бути, коли-небудь. У більшості компаній такі процеси не працюють, і робота з профільними компаніями, які надають такі послуги в форматі сервісу, на наш погляд, найбільш економічно вигідний і ефективний варіант. Утримувати в своєму штаті персонал, який буде займатися тільки питаннями моніторингу безпеки, часто економічно недоцільно.

Для СМБ компаній, мабуть, єдино прийнятний варіант — використання сервісів моніторингу в форматі послуг. Ми розуміємо, що це досить довгий шлях, ринок не готовий — але, як то кажуть, дорогу здолає той, хто йде.

На закінчення хочеться згадати Льюїса Керролла. Для того щоб залишатися на місці — потрібно дуже швидко бігти. У наших реаліях, коли дійсно картина змінюється дуже швидко, потрібно докладати зусиль навіть для того, щоб просто залишитися на місці.

Наша компанія готова дати вам той інструмент який дозволить бігти швидше ваших конкурентів. Адже ми бачимо свою мету в захисті бізнесу наших клієнтів, щоб вони могли зосередитися на своїй справі і відчувати себе впевнено в сучасному цифровому світі.